Security and Privacy of Sensitive Data in Cloud Computing ALI GHOLAMI Doctoral Thesis Stockholm, Sweden 2016 TRITA-CSC-A-2016:11 Department of Computational Science and Technology ISSN 1653-5723 KTH School of Computer Science and Communication ISRN KTH/CSC/A--16/11--SE SE-100 44 Stockholm ISBN 978-91-7595-941-2 SWEDEN Akademisk avhandling som med tillstånd av Kungl Tekniska högskolan framläg- ges till offentlig granskning för avläggande av teknologie doktorsexamen i datalogi onsdagenden8juni2016klockan10.00iKollegiesalen,Administrationsbyggnaden, Kungl Tekniska högskolan, Valhallavägen 79, Stockholm. © Ali Gholami, April 2016 Tryck: Universitetsservice US AB iii Abstract Cloud computing offers the prospect of on-demand, elastic computing, provided as a utility service, and it is revolutionizing many domains of com- puting. Compared with earlier methods of processing data, cloud computing environments provide significant benefits, such as the availability of auto- mated tools to assemble, connect, configure and reconfigure virtualized re- sourcesondemand. Thesemakeitmucheasiertomeetorganizationalgoalsas organizationscaneasilydeploycloudservices. However,theshiftinparadigm that accompanies the adoption of cloud computing is increasingly giving rise to security and privacy considerations relating to facets of cloud computing suchasmulti-tenancy,trust,lossofcontrolandaccountability. Consequently, cloudplatformsthathandlesensitiveinformationarerequiredtodeploytech- nicalmeasuresandorganizationalsafeguardstoavoiddataprotectionbreak- downs that might result in enormous and costly damages. Sensitiveinformationinthecontextofcloudcomputingencompassesdata from a wide range of different areas and domains. Data concerning health is a typical example of the type of sensitive information handled in cloud computing environments, and it is obvious that most individuals will want information related to their health to be secure. Hence, with the growth of cloud computing in recent times, privacy and data protection requirements havebeenevolvingtoprotectindividualsagainstsurveillanceanddatadisclo- sure. SomeexamplesofsuchprotectivelegislationaretheEUDataProtection Directive (DPD) and the US Health Insurance Portability and Accountabil- ity Act (HIPAA), both of which demand privacy preservation for handling personally identifiable information. There have been great efforts to employ a wide range of mechanisms to enhancetheprivacyofdataandtomakecloudplatformsmoresecure. Tech- niques that have been used include: encryption, trusted platform module, securemulti-partycomputing,homomorphicencryption,anonymization,con- tainer and sandboxing technologies. However, it is still an open problem about how to correctly build usable privacy-preservingcloudsystemstohandlesensitivedatasecurelyduetotwo research challenges. First, existing privacy and data protection legislation demand strong security, transparency and audibility of data usage. Second, lackoffamiliaritywithabroadrangeofemergingorexistingsecuritysolutions to build efficient cloud systems. This dissertation focuses on the design and development of several sys- tems and methodologies for handling sensitive data appropriately in cloud computing environments. The key idea behind the proposed solutions is en- forcing the privacy requirements mandated by existing legislation that aims to protect the privacy of individuals in cloud-computing platforms. We begin with an overview of the main concepts from cloud computing, followed by identifying the problems that need to be solved for secure data management in cloud environments. It then continues with a description of iv background material in addition to reviewing existing security and privacy solutions that are being used in the area of cloud computing. Our first main contribution is a new method for modeling threats to pri- vacyincloudenvironmentswhichcanbeusedtoidentifyprivacyrequirements in accordance with data protection legislation. This method is then used to propose a framework that meets the privacy requirements for handling data in the area of genomics. That is, health data concerning the genome (DNA) of individuals. Our second contribution is a system for preserving privacy whenpublishingsampleavailabilitydata. Thissystemisnoteworthybecause it is capable of cross-linking over multiple datasets. The thesis continues by proposingasystemcalledScaBIAforprivacy-preservingbrainimageanalysis in the cloud. The final section of the dissertation describes a new approach for quantifying and minimizing the risk of operating system kernel exploita- tion, in addition to the development of a system call interposition reference monitor for Lind - a dual sandbox. v Sammanfattning “Cloud computing”, eller “molntjänster” som blivit den vanligaste svens- ka översättningen, har stor potential. Molntjänster kan tillhandahålla exakt dendatakraftsomefterfrågas,nästanoavsetthurstordenär;dvs.molntjäns- ter möjliggör vad som brukar kallas för “elastic computing”. Effekterna av molntjänster är revolutionerande inom många områden av datoranvändning. Jämfört med tidigare metoder för databehandling ger molntjänster många fördelar; exempelvis tillgänglighet av automatiserade verktyg för att monte- ra,ansluta,konfigureraochre-konfigureravirtuellaresurser“alltefterbehov” (“on-demand”). Molntjänster gör det med andra ord mycket lättare för or- ganisationer att uppfylla sina målsättningar. Men det paradigmskifte, som införandetavmolntjänsterinnebär,skaparävensäkerhetsproblemochförut- sätternoggrannaintegritetsbedömningar.Hurbevarasdetömsesidigaförtro- endet,hurhanterasansvarsutkrävandet,vidminskadekontrollmöjlighetertill följd av delad information? Följaktligen behövs molnplattformar som är så konstruerade att de kan hantera känslig information. Det krävs tekniska och organisatoriska hinder för att minimera risken för dataintrång, dataintrång som kan resultera i enormt kostsamma skador såväl ekonomiskt som poli- cymässigt. Molntjänster kan innehålla känslig information från många olika områden och domäner. Hälsodata är ett typiskt exempel på sådan informa- tion. Det är uppenbart att de flesta människor vill att data relaterade till derashälsaskavaraskyddad.Sådenökadeanvändningenavmolntjänsterpå senare år har medfört att kraven på integritets- och dataskydd har skärpts förattskyddaindividermotövervakningochdataintrång.Exempelpåskyd- dandelagstiftningär“EUDataProtectionDirective”(DPD)och“USHealth Insurance Portability and Accountability Act” (HIPAA), vilka båda kräver skydd av privatlivet och bevarandet av integritet vid hantering av informa- tionsomkanidentifieraindivider.Dethargjortsstorainsatserförattutveckla flermekanismerförattökadataintegritetenochdärmedgöramolntjänsterna säkrare. Exempel på detta är; kryptering, “trusted platform modules”, säker “multi-partycomputing”,homomorfiskkryptering,anonymisering,container- och “sandlåde”-tekniker. Men hur man korrekt ska skapa användbara, integritetsbevarande moln- tjänsterförheltsäkerbehandlingavkänsligadataärfortfarandeiväsentliga avseendenettolöstproblempågrundavtvåstoraforskningsutmaningar.För det första: Existerande integritets- och dataskydds-lagar kräver transparens ochnoggranngranskningavdataanvändningen.Fördetandra:Bristandekän- nedomomenradkommandeochredanexisterandesäkerhetslösningarföratt skapa effektiva molntjänster. Denna avhandling fokuserar på utformning och utveckling av system och metoder för att hantera känsliga data i molntjänster på lämpligaste sätt. Måletmeddeframlagdalösningarnaärattsvaradeintegritetskravsomställs i redan gällande lagstiftning, som har som uttalad målsättning att skydda individers integritet vid användning av molntjänster. Vibörjarmedattgeenöverblickavdeviktigastebegreppenimolntjäns- ter, för att därefter identifiera problem som behöver lösas för säker databe- handlingvidanvändningavmolntjänster.Avhandlingenfortsättersedanmed vi en beskrivning av bakgrundsmaterial och en sammanfattning av befintliga säkerhets- och integritets-lösningar inom molntjänster. Vårt främsta bidrag är en ny metod för att simulera integritetshot vid användning av molntjänster, en metod som kan användas till att identifiera de integritetskrav som överensstämmer med gällande dataskyddslagar. Vår metodanvändssedanförattföreslåettramverksommöterdeintegritetskrav som ställs för att hantera data inom området “genomik”. Genomik handlar i korthet om hälsodata avseende arvsmassan (DNA) hos enskilda individer. Vårtandrastörrebidragärettsystemförattbevaraintegritetenvidpublice- ring av biologiska provdata. Systemethar fördelen attkunna sammankoppla flera olika uppsättningar med data. Avhandlingen fortsätter med att före- slå och beskriva ett system kallat ScaBIA, ett integritetsbevarande system för hjärnbildsanalyser processade via molntjänster. Avhandlingens avslutan- dekapitelbeskriverettnyttsättförkvantifieringochminimeringavriskvid “kernel exploitation” (“utnyttjande av kärnan”). Denna nya ansats är även ettbidragtillutvecklingenavettnyttsystemför(Callinterpositionreference monitor for Lind - the dual layer sandbox). Acknowledgements IwouldliketoexpressmysinceregratitudetoProf.ErwinLaure,forsupervisingthe thesis, helpful criticism and advice. Indeed, his incredible knowledge of computer systems and scientific approach to face research problems was always inspiring. I would also like to thank my co-advisor Prof. Seif Haridi, for letting me work with his excellent research group. Duringmydoctoralstudies,Iwasfortunatetoworkwithseveralbrilliantpeople who I always admire. First, a special mention goes to Dr. Jim Dowling for his technical excellence and patience. Second, I would greatly appreciate Dr. Justin Cappos for providing me an internship at NYU and deepening my knowledge of cloudsecurity.Third,Iwouldliketothankallmyco-authorsandthosewhohelped me to accomplish this thesis. Most notably, Prof. Jane Reichel for her invaluable comments, Prof. Jan-Eric Litton for his support, Prof. Ulf Leser for his feedback on the usability aspects of my research, Dr. Sonja Buchegger for her suggestions, Dr. Åke Edlund for always being helpful, Gert Svensson for his understanding and support, Gilbert Netzer for always providing good answers to my questions, Michael Schliephake for his helpfull suggestions, Genet Edmonson for improving my technical writing, and Laeeq Ahdmad for proof-reading of the thesis. I would like to extend my gratitude to Prof. Schahram Dustdar for being my opponent. I am also grateful to Prof. Cecilia Magnusson Sjöberg, Dr. Rose-Mharie Åhlfeldt,Dr.JavidTaheri,Prof.JeanetteHellgren-KotaleskiandDr.LarsArvestad to be the committee members of the thesis. FinancialsupportfromtheSwedishe-ScienceResearchCenter(SeRC),National Science Foundation (NSF) and the European FP7 framework is acknowledged. Contents Contents viii List of Figures xiii List of Tables xv I Prologue 1 1 Introduction 3 1.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.2 Reference Platforms . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.2.1 Scalable Secure Storage BioBankCloud. . . . . . . . . . . . . 6 1.2.2 VENUS-C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.3 Research Questions and Contributions . . . . . . . . . . . . . . . . . 13 1.4 Research Method . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.5 List of Scientific Papers . . . . . . . . . . . . . . . . . . . . . . . . . 15 1.6 Thesis Outline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2 Background 19 2.1 Big Data Infrastructures . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.2 Cloud Computing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 2.2.1 Concepts in Cloud Computing . . . . . . . . . . . . . . . . . 22 2.2.2 Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 2.2.3 Container Technology . . . . . . . . . . . . . . . . . . . . . . 26 2.3 Security Techniques to Ensure Privacy . . . . . . . . . . . . . . . . . 31 2.3.1 The EU DPD Key Concepts . . . . . . . . . . . . . . . . . . 31 2.3.2 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 32 2.3.3 Data Anonymization Techniques . . . . . . . . . . . . . . . . 34 2.3.4 Secret Sharing . . . . . . . . . . . . . . . . . . . . . . . . . . 37 2.4 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 3 Related Work 41 viii CONTENTS ix 3.1 Identification of Research . . . . . . . . . . . . . . . . . . . . . . . . 41 3.2 Cloud Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 3.2.1 Authentication and Authorization . . . . . . . . . . . . . . . 42 3.2.2 Identity and Access Management . . . . . . . . . . . . . . . . 44 3.2.3 Confidentiality, Integrity and Availability (CIA) . . . . . . . . 45 3.2.4 System Call Interposition: . . . . . . . . . . . . . . . . . . . . 49 3.2.5 Security Monitoring and Incident Response . . . . . . . . . . 50 3.2.6 Security Policy Management . . . . . . . . . . . . . . . . . . 50 3.3 Data Security and Privacy . . . . . . . . . . . . . . . . . . . . . . . . 51 3.3.1 Big Data Infrastructures and Programming Models . . . . . . 52 3.3.2 Privacy-Preserving Solutions in the Cloud . . . . . . . . . . . 54 3.3.3 Privacy-Preservation Database Federation . . . . . . . . . . . 56 3.4 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 II Privacy by Design for Cloud Computing 59 4 Privacy Threat Modeling Methodology for Cloud Computing Environments 61 4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 4.2 CharacteristicsofaPrivacyThreatModelingMethodologyforCloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 4.2.1 Privacy Legislation Support . . . . . . . . . . . . . . . . . . . 62 4.2.2 Technical Deployment and Service Models . . . . . . . . . . . 62 4.2.3 Customer Needs . . . . . . . . . . . . . . . . . . . . . . . . . 62 4.2.4 Usability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 4.2.5 Traceability . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 4.3 Methodology Steps and Their Products . . . . . . . . . . . . . . . . 63 4.3.1 Privacy Regulatory Compliance . . . . . . . . . . . . . . . . . 64 4.3.2 Cloud Environment Specification . . . . . . . . . . . . . . . . 65 4.3.3 Privacy Threat Identification . . . . . . . . . . . . . . . . . . 66 4.3.4 Risk Evaluation. . . . . . . . . . . . . . . . . . . . . . . . . . 66 4.3.5 Threat Mitigation . . . . . . . . . . . . . . . . . . . . . . . . 67 4.4 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 5 Case Study: BioBankCloud Privacy Threat Modeling 69 5.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 5.2 Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 5.3 Privacy Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . 71 5.4 Cloud Environment Specification . . . . . . . . . . . . . . . . . . . . 74 5.5 Privacy Threat Identification . . . . . . . . . . . . . . . . . . . . . . 77 5.6 Risk Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 5.7 Threat Mitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 5.8 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 x CONTENTS 6 Design and Implementation of the Secure BioBankCloud 87 6.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 6.2 Security Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 6.2.1 Comparison of Existing Solutions . . . . . . . . . . . . . . . . 88 6.2.2 Proposed Selection of Components . . . . . . . . . . . . . . . 97 6.3 Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 6.3.1 Assumptions . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 6.3.2 Identity and Access Management . . . . . . . . . . . . . . . . 98 6.3.3 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 99 6.3.4 Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 6.3.5 Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 6.4 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 6.4.1 The Middleware and Libraries . . . . . . . . . . . . . . . . . 106 6.4.2 Identity and Access Management . . . . . . . . . . . . . . . . 106 6.4.3 Custom Authentication Realm . . . . . . . . . . . . . . . . . 110 6.4.4 Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 6.4.5 Privacy and Ethical Settings . . . . . . . . . . . . . . . . . . 113 6.4.6 Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 6.5 Verification and Validation . . . . . . . . . . . . . . . . . . . . . . . 117 6.6 Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 6.7 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 III Trustworthy Privacy-Preserving Cloud Models 121 7 Privacy-Preserving Data Publishing for Sample Availability Data123 7.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 7.2 Privacy-Preservation Mechanisms . . . . . . . . . . . . . . . . . . . . 124 7.3 Obscuring the Key Attributes . . . . . . . . . . . . . . . . . . . . . . 125 7.3.1 Hashing and Encryption . . . . . . . . . . . . . . . . . . . . . 125 7.4 Threat Assumptions . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 7.4.1 Inference Attacks . . . . . . . . . . . . . . . . . . . . . . . . . 126 7.4.2 Malicious Sample Publication . . . . . . . . . . . . . . . . . . 126 7.4.3 Audit and Control . . . . . . . . . . . . . . . . . . . . . . . . 127 7.4.4 Server Private Key Compromised . . . . . . . . . . . . . . . . 127 7.4.5 Ethical Constraints . . . . . . . . . . . . . . . . . . . . . . . . 127 7.4.6 Static Passwords . . . . . . . . . . . . . . . . . . . . . . . . . 127 7.4.7 Query Reply Limitation . . . . . . . . . . . . . . . . . . . . . 127 7.5 Design and Implementation . . . . . . . . . . . . . . . . . . . . . . . 128 7.5.1 Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 7.5.2 Integration Service . . . . . . . . . . . . . . . . . . . . . . . . 130 7.5.3 Secure Data Management . . . . . . . . . . . . . . . . . . . . 131 7.5.4 Data Pseudonymization and Anonymization . . . . . . . . . . 132 7.5.5 Re-identification Risk . . . . . . . . . . . . . . . . . . . . . . 133